Курс "Защита информации", кафедра радиотехники, Московский физико-технический институт (МФТИ)

2010: Главная Экзамен Лекции Семинары Проекты Эссе | Преподаватели Литература | Архив: 2009 2008-fall 2008 2007 2006 2005 2004 2003 | English
HTML-версия эссе "Viruses taxonomy and detection techniques", Leonov, 2005, сгенерированная из pdf/rtf.
Конвертация не вcегда корректна. Смотрите исходный pdf.

Классификация вирусов и методы их обнаружения

Московский Физико-Технический Институт Факультет Радиотехники и Кибернетики

Предмет: Защита информации

Автор: Леонов Дмитрий, 114 гр.

2005 г.

Введение.

Компьютерные вирусы в настоящее время являются очень серьезное проблемой. О них написаны сотни книг и статей. Все больше и больше людей профессионально занимаются борьбой с вирусами. Но, одновременно, число специалистов «по ту сторону баррикад» тоже стремительно увеличивается, растет и их общий уровень, плюс ко всему день ото дня усложняется программное обеспечение – все это лишь добавляет актуальности проблеме информационной безопасности и, в частности, проблеме защиты от вирусов.

Что такое вирусы?

Прежде, чем приступать к разговору о вирусах, следует постараться дать определение самому понятию «компьютерного вируса», хотя это и сложно. Если говорить точнее, то просто невозможно. Это объясняется большим разнообразием вирусов и их тесными родственными связями с «порядочным» программным обеспечением. Основными отличительными особенностями вирусов является следующие особенности:

вирусы не совершают никаких полезных для пользователя действий, а в абсолютном большинстве случаев их действия, наоборот, вредоносны.
способность саморепродуцироваться, т.е. создавать рабочие копии самого себя, преумножая тем самым собственную популяцию.

Само название подобных программ «вирусами» появилось из-за их сходства с простейшими белковыми структурами – биологическими вирусами. Биологический вирус сложно назвать живым – это белковым автомат, главными способностями которого являются способность копировать себя и паразитировать. Поэтому мне кажется нецелесообразным выделять какие-либо другие свойства компьютерных вирусов, пытаясь составить более полное их определение. Все остальное ограничено только фантазией программиста.

Очевидно, что данное выше определение компьютерных вирусов не проводит четких границ, выделяя вирусы, как некий подкласс из общего пространства программного обеспечения. Способностью самокопирования также обладает ряд «порядочного» ПО. А вредоносной может стать практически любая программа в руках неумелого пользователя или в поле специфических обстоятельств.

Классификация вирусов.

Теперь давайте обратимся к стандартной, устоявшейся классификации вирусов. И далее, к некоторым методам профилактики и лечения различных их представителей. Своего врага надо знать в лицо. Итак, классификация.

Во-первых, выделим некоторые основные критерии, по которым в дальнейшем будем подразделять все вирусы на классы. Таковыми критериями являются:

операционная система
o DOS, Windows, Linux, MacOS, OS/2, Mobile OSes и так далее…
среда обитания
o файловые, загрузочные, макро, сетевые
особенности алгоритма
o резидентностные-нерезидентныые
o вирусы
o черви
o паразиты
o сетевые черви
o стелс-вирусы
o вирусы-полиморфики
деструктивные возможности
o пассивные-безвредные
o активные-безвредные
o разрушающие данные
o разрушающие аппаратуру

Тут следует поподробнее остановиться на некоторых вышеприведенных характеристиках.

По среде обитания мы разделили вирусы на:

Файловые вирусы, которые внедряются в выполняемые файлы (*.СОМ, *.ЕХЕ, *.SYS, *.BAT, *.DLL).
Загрузочные вирусы, которые внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record).
Макро-вирусы - вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время широко распространены макро-вирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel.
Сетевые вирусы распространяются через электронную почту или команды и протоколы компьютерных сетей

Существуют и сочетания - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему и их труднее обнаружить.

Особенности алгоритмов вирусов подробнее:

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными лишь ограниченное время.
вирусы-«черви» (worm) - «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в подкаталогах дисков, никаким образом не изменяя других файлов.
«паразитические» - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон-вирусами»;
сетевые вирусы (сетевые черви) - вирусы, которые распространяются в компьютерной сети и, так же, как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевых вирусов известно всего несколько штук. Например, XMasTree, Вирус Морриса (Internet Worm). На сегодняшний день сетевые вирусы не представляют никакой опасности, так как они нежизнеспособны в современных сетях, как глобальных (Internet), так и локальных (NetWare, NT). Однако это не мешает обычным DOS-вирусам и макро-вирусам поражать компьютерные сети (локальные и глобальные). Делают они это, в отличие от сетевых вирусов, не используя сетевые протоколы и «дыры» в программном обеспечении. Заражению подвергаются файлы на «общих» дисках на серверах и рабочих местах, через которые эти вирусы перебираются и на другие рабочие места, а часто и передаются в Internet.
«стелс»-вирусы (вирусы-невидимки, stealth), представляют собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы;
«полиморфик»-вирусы (самошифрующиеся или вирусы-призраки, polymorphic) - достаточно труднообнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика;

По деструктивным возможностям я разделил вирусы на четыре категории, немного отклонившись от стандартной классификации. На мой взгляд, вирусы, способные наносить hardware-ущерб, хоть и не многочисленны, но заслуживают отдельного внимания. Так, в настоящее время БИОСы материнский плат вмещают в себя все больше и больше функциональности по управлению разными системами и контроллерами. Несомненно, что каждое подобное управленческое решение имеет какие-то степени защиты, не позволяющее погубить саму систему. Но «народные умельцы» находят «дыры» почти в любом ПО, даже такого уровня. И… воспаленное успехом сознание уже строчит код, который способен выставлять критические значения внутренних напряжений и частот, обходя ограничения и «обезвреживая» системы аварийного отключения-сброса.

Остальные вирусы делятся таким образом:

Безвредные-пассивные – совершенно не влияют на работу каких-либо систем компьютера, кроме некоторого уменьшения свободного пространства на жестких дисках.

Безвредные-активные – это так называемые «вирусы-шутники». Не портят ПО и данные. Портят лишь нервы пользователей своими неожиданными и не всегда цензурными шутками.

Разрушающие данные – большой класс вирусов. В него входит большинство известных вирусов, различающиеся по возможным масштабам порчи. Масштабы легче классифицировать шкалой, например от 1 до 10.

Борьба с вирусами.

Бороться с вирусами надо как до, так и после их проникновения на компьютер. Здесь важным является все – и профилактика, и уменьшение предполагаемого ущерба, и обезвреживание вирусов, как известных, так и неизвестных.

На данным момент в мире существует уже не мало команд, профессионально занимающихся исследованием вирусов и созданием антивирусного программного обеспечения. Правильное использование и своевременное обновление подобного ПО является хорошей профилактикой против вирусного заражения.

Небольшое знакомство с типами антивирусных программ.

Детекторы - осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и выдают соответствующее сообщение при обнаружении.
Доктора или фаги (полифаги) - "лечат" файловые и макровирусы: находят зараженные файлы и возвращают их в исходное состояние, удаляя из файла тело программы-вируса. Сначала такие программы ищут и уничтожают вирусы в оперативной памяти, а затем - файлов.
Полифаги - предназначены для поиска и уничтожения большого количества вирусов. Поскольку постоянно возникают новые вирусы, полифаги быстро устаревают, и требуется регулярное обновление версий или баз данных.
Ревизоры - запоминают исходное состояние программ, каталогов и системных областей диска незараженного компьютера и периодически сравнивают его с текущим состоянием, выявляя подозрительные изменения.
Фильтры - это небольшие резидентными программы. Они могут определить характерные действия вирусов при работе компьютера

Кроме этого, многие серьезные компании регулярно выпускают обновления и заплатки к своему ПО, таким образом защищая пользователей от многих известных «дыр», которые потенциально могут быть использованы злоумышленниками и вирусами для проникновения и/или получения прав доступа к внутренним управляющим системам.

Прежде всего, пользователь должен знать о вышеописанных методах защиты от вирусов и несанкционированного вторжения. Вдобавок необходимо четко следовать инструкциям – большинство заражений происходит из-за халатности пользователей.

Шанс заразиться новым вирусом сравнительно мал.

Эпидемии.

Истории известны случаи, когда какой-либо качественно новый вирус наводнял сеть и выводил из строя целые производственные и банковские системы. В подобных случаях требуется мобилизация всех имеющихся сил, ресурсов и знаний.

Использованная литература:

http://www.viruslist.com/

http://www.ezpc.ru/pcvir2.shtml

http://lib.profi.net.ua/doc/comp_net/virenc/index.htm

http://tver.mesi.ru/e-lib/res/334/1CLASSI/SUB.HTM


Page last update: Fri Jun 10 10:19:18 2005 MSD.
Website last update:
Rambler's Top100 Рейтинг@Mail.ru